Re: [Techinfo] Synology NAS-ra VPN szerver

[Sándor Fehér]

Értem ez a 2. eset.

Akkor gondolj bele ebbe:
a synology csak tun típusú vpn szervert tud emlékeim szerint.
A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk
A vpn kliensed felkeresi a lan-os valamelyik belső gépet.
A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az 
alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz.
A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány, 
így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott eldobódik....

példa:
otthoni lan           >>>>>>> soho router publikuson >>>>>>>>>synology
192.168.1.0/24 195.199.23x.x/29                               192.168.2.0/24
vpn kliens tun ip: 10.0.0.1 ------------------------------------------> 
syno tun ip 10.0.0.2

A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip 
címektől független lesz. pl 10.0.0.0/24
A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken "látszódik" 
a suliba, mivel layer 3 alapú a vpn.
A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt csak 
a vpn szerver ismeri. Sajnos nem a vpn szervered az alapértelmezett 
átjáró, mert ha az lenne nincs probléma.
Az hogy ezt áthidald a kifü cisco-ba kellene route táblát 
frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip 
címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerintem.
Ha ez nincs, akkor a belső gépek azt csinálják amit fenn írtam.

Csak 2. rétegbeli vpn-el lehet ezt megoldani ún transport módú vagyis 
"tap" típusú openvpn megoldással.
!!!A pfsense tudja ezt, a synology nem. !!!
Ennek a működése annyi, hogy a vpn kliensed a belső hálózatról a mostani 
!!!kifüs!!! cisco routertől fog ip címet kapni és a cisco úgy fogja őt 
látni, mintha a switchbe dugtad volna azt a gépet, ami neked sulin kívül 
van. A wifi sub is megy a kmsel együtt, ha most is jó.
Ehhez kell egy pc két ethernet kártyával.
Mással időhúzás próbálkozni és kudarc lesz a vége ebben a környezetben..
Ha hajlasz ennek a megoldására keress nyugodtan.

Üdv!






2021. 04. 13. 16:11 keltezéssel, Kiss Zsolt írta:

Nem rajzolok inkább leírom, szerintem érthető lesz.

Fogok egy soho routert. WAN portját bedugom a kifü publikus portjába, 
beállítom a routerben a publikus IP-t.

A soho tartományát ugyanarra állítom, mint a privát szegmensem 
tartománya, és a DHCP-t kikapcsolom.

Fogok egy UTP kábelt és a LAN1 portot rádugom a kifü privát tartományára.

Így bármelyik privátos gépre tudok port forwardot csinálni. Ami 
speciel a NAS lesz. Annyi benne még a csavar, hogy az a gép, amire 
port forwardot állítok be, neki az átjárója IP-je a soho router belső 
IP-je kell legyen, tehát ő nem a kifün közlekedik közvetlenül hanem a 
sohon. Ez régen simán működött, de az rémlik lassú volt, de az router 
hiba volt.

Pl az eduroamnak azért kell látnia a privátot, mert abban van a 
hálózati nyomtató. Ha az adatokat teljesen felhőbe teszem, így nem 
lesz mondjuk fileszerver, akkor is a nyomtató miatt kelleni fog az 
átjárás. De ez most működik is, minden mindennel össze van nyitva.

Akkor az open VPN-nek elég 1 port, semmi sok portos bonyolultság. 
Bekonfigolom a NAS-on, amit ott beállítok portot kinyitok és meglátjuk 
működik-e J

W10 alapból fel sem ismeri, vagy felismeri, csak egészségesebb 
klienssel használni? Mert ha felismeri, a teszt erejéig akár mehetne 
azzal is. Ha jól csatlakozik, akkor a szerver része OK, lehet 
klienssel is bíbelődni…

Zsolt

*From:*techinfo-boun...@lista.sulinet.hu 
<techinfo-boun...@lista.sulinet.hu> *On Behalf Of *Sándor Fehér
*Sent:* Tuesday, April 13, 2021 3:49 PM
*To:* techinfo@lista.sulinet.hu
*Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver

>hogy egy soho routerrel tudok „becselezni” a privátba
Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz jó 
két dolog miatt sem.

1: hiába teszed be a wan interfészét a privátba oda nem tudsz portot 
forwardolni, mert nem lehetséges plusz felesleges lenne.
2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a 
privátba belefutsz egy problémába::: a benti lanos gépek 
alapértelmezett átjárója nem a soho router most, ezért a hálózati 
gépek egyike sem fogja elérni a vpn mögötti subnetet, mert hogy ez 
menjen a cisco-ba kellene belenyúlni és módosítani a route táblát. Nem 
hinném, hogy a kifü ezt megteszi neked, amúgy működhet, de ne így 
csináld szerintem.  Pont emiatt is van saját routerem....

A wifi miért kell lássa a privát/vpn szubnetet?
-ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan írtad....

Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is 
lehet, sokszor ajánlott is mást használni.

A win10-hez a kliens az openvpn community oldalon a community 
downloadson belül érhető el, rendszergazdaként kell telepíteni.
https://openvpn.net/community-downloads/ 
<https://openvpn.net/community-downloads/>

Androidra és szifonra is van kliens és persze linuxra is....






2021. 04. 13. 14:58 keltezéssel, Kiss Zsolt írta:

    Én ezzel tisztában voltam, ezért is írtam, hogy egy soho routerrel
    tudok „becselezni” a privátba. Úgy már tudok port forwardolni.
    Engem elvileg el kellene, hogy bírjon. Az egész sulit nem akarom
    ráterelni. Egy gyors próbát megér, aztán max eldobom az ötletet.

    Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét.
    Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé
    építenék ki saját infrastruktúrát a priváttól függetlenül. Ez
    gyakorlatilag az egész hálózat átalakítását jelentené. Most nekem
    az elég ha én egyedül tudok VPN-en közlekedni.

    Open VPN-hez milyen portok kellenek?

    Meg akkor milyen kliens a célszerű W10 alá?

    Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a
    tapasztalatok függvényében lehet majd átalakítani.

    Zsolt

    *From:*techinfo-boun...@lista.sulinet.hu
    <mailto:techinfo-boun...@lista.sulinet.hu>
    <techinfo-boun...@lista.sulinet.hu>
    <mailto:techinfo-boun...@lista.sulinet.hu> *On Behalf Of *Sándor Fehér
    *Sent:* Tuesday, April 13, 2021 2:39 PM
    *To:* techinfo@lista.sulinet.hu <mailto:techinfo@lista.sulinet.hu>
    *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver

    Összességében nem nem jól gondolod:
    Kérlek nézd ezt át:
    https://sulinet.niif.hu/dashboard2_0
    <https://sulinet.niif.hu/dashboard2_0>

    A lényeg:


    *Figyelem! A Cisco router mögött csak a Publikus szegmensen
    elhelyezett szerver/router érhető el az Internet irányából,
    amennyiben a megfelelő engedő szabályok rögzítve vannak.*

    *Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port
    átirányításra nincs lehetőség!*

    *EZT ÉN NEM TUDTAM :)**


    *


    A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást
    használni, mert korszerűtlen és rugalmatlan.
    Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd
    a publikus szegmensre. Az egyszerű soho routert nem fogja bírni a
    teljes iskolátokat ellátni.
    Át kellene raknod ez esetben az egész sulitokat saját router mögé.
    (pl hap ac2 mikrotikkel vagy attól nagyobb router segítségével)

    Egyedüli járható út, hogy mégis megoldjad:
    pc (pfsense) két ethernet kártyával az egyik a publikus
    tartományba megy, a másik a privát szegmensre
    A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon
    összenyitod, de ez megint passz, hogy lehet e ilyet. >>> én semmi
    gyári kifüs megoldást nem használok, nálunk minden saját megoldás
    mikrotik routerrel

    A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható
    ezzel a hálózati kialakítással.






    2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta:

              

            Ok, akkor portforwardot megtudod oldani és a nast berakni a belső 
hálóra?

              

        Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy

        bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, 
tehát ez

        a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra

        kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a

        soho router belső IP címére, különben nem talál vissza a csomag. A régi

        helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért 
dobtam

        végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak 
a

        soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már

        pontosan miért vetettem el.

          

        Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A 
kifü

        nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az

        tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan

        akarják elérni.

          

            Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256

            melett)

            A kms is működik akkor, ha a belső hálózatodon is működik most.

              

          

        Jól hangzik :)

          

          

            Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t 
pl

            iterakció nélkül is tud futni a vpn és akkor minden automata. A 
tanárnak

        nem

            kell csinálni semmit, te pedig korábban vagy anydeskel beállítod.

          

        Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell

        openvpn kliens programot?

          

        Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a 
tűzfalon,

        majd akkor tovább dobnom belső lábra.

          

          

          

            Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon 
egyszerű a

            megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is.

          

        Nálatok is a pfsense a privátra van kötve? Ott így első körben azért 
tűnik

        jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a 
NAS-nál

        az adatok wifis elérése. Már persze ha jól gondoltam át, és ez 
ténylegesen

        valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán 
lehet

        ismerkedni majd később mással is :)

          

        Zsolt

          

        _______________________________________________

        Techinfo mailing list

        Techinfo@lista.sulinet.hu  <mailto:Techinfo@lista.sulinet.hu>

        Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo 
 <http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>

        Illemtan:http://www.szag.hu/illemtan.html  
<http://www.szag.hu/illemtan.html>

        Ügyfélszolgálat FAQ:http://sulinet.niif.hu/  <http://sulinet.niif.hu/>



    _______________________________________________

    Techinfo mailing list

    Techinfo@lista.sulinet.hu  <mailto:Techinfo@lista.sulinet.hu>

    Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo  
<http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>

    Illemtan:http://www.szag.hu/illemtan.html  
<http://www.szag.hu/illemtan.html>

    Ügyfélszolgálat FAQ:http://sulinet.niif.hu/  <http://sulinet.niif.hu/>


_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/